Ransonware SynAck
Assim como tecnologia, pessoas e processos evoluíram com o passar do tempo. Como um ciclo natural, podemos identificar também a evolução das ameaças e métodos de ataques, sendo que, muitas vezes, esse processo é ainda mais rápido no mundo cibernético. Malwares tem evoluído constantemente com novas funcionalidades e técnicas que visam evitar a detecção pelos antivírus.
Em maio de 2018, o Kaspersky Lab descobriu uma nova evolução, no caso, o ransonware SynAck. Malware conhecido desde setembro de 2017, mas não muito inteligente nesta época, foi agora reformulado e se tornou uma ameaça bem mais complexa que evita detecções com uma efetividade sem antes vista e utiliza uma técnica chamada Process Doppelgänging.
Desenvolvedores de malware fazem uso de técnicas de ofuscamento, que normalmente empregam pacotes de software especiais para esta finalidade. Porém, os fabricantes de antivírus perceberam que esse tipo de estratégia é facilmente detectada. Dessa forma, os cibercriminosos por trás do SynAck seguiram um outro caminho para dificultar a detecção do novo malware. Este método requer bem mais esforço para sua identificação. Se resume em ofuscar o código de forma completa e cuidadosa antes da compilação, o que dificulta significativamente o trabalho de detecção das soluções de segurança atuais.
Esse não é o único método de evasão da nova versão do SynAck. É implementada uma técnica, com uma certa complexidade, chamada Process Doppelgänging e é o primeiro ransomware a ser visto usando essa técnica. Para mais detalhes deste método, veja esta apresentação realizada por pesquisadores na Black Hat 2017.
O Process Doppelgänging conta com alguns recursos do sistema de arquivos NTFS e um process loader desatualizado existente em todas as versões do Windows desde o Windows XP, e que permitem que desenvolvedores criem os chamados Fileless Malware que fazem com que ações maliciosas se passem por processos legítimos e inofensivos. A técnica é de uma certa complexidade que chega a ser poética para os amantes de análise de malware e engenharia reversa; recomendo a leitura deste post no Securilist para mais detalhes.
Algumas características do SynAck são:
Aparentemente o SynAck é um desses ransonwares direcionados, uma vez que ainda só há registros em países como EUA, Alemanha, Irã e Kuwait. Vale ressaltar que ainda não foi encontrada nenhuma falha na implementação do algoritmo, com isso ainda não há uma forma de descriptografar os arquivos afetados.
Mesmo que não estejamos na mira desse novo modelo de ransonware, este por sua vez mostra a grande evolução que esses tipos de ameaças tem adquirido. Quanto mais complexa e elaborada essas ameaças se tornam mais complicada e difícil será o trabalho de combate-las. As ferramentas de proteção serão cada vez menos eficientes sozinhas conforme os criminosos aprimoram suas técnicas e formas de evitar que seus ataques sejam identificados.
Podemos entender que a existências de ameaças com essa complexidade e detalhistas ao que diz respeito às dificuldades de proteção e detecção, nos leva ao início de uma nova era para a Segurança Cibernética. Os profissionais de SI têm um desafio enorme ao que tange a proteção dos seus negócios. Entender e conhecer ameaças não é mais suficiente no âmbito atual. Precisamos aprender a estudar comportamentos e realizar análises de tendências em nosso mercado para que possamos estar sempre capacitados a tomar decisões proativas para que estejamos sempre perto da prevenção. Remediar não é o mais recomendado.
O volume de geração de dados que temos na atualidade e o impacto negativo que sua perda promove para as instituições principalmente relacionado à reputação e perda financeira, nos faz buscar soluções que nos apoiem em visibilidade para rápida tomada de decisão e mais proximidade com a prevenção.
Algumas dicas para nossos clientes são:
A LDC possui a metodologia de segurança em 360 graus, envolvendo processos com ajustes e politicas bem definidas para o ambiente de TI, conscientização das pessoas em relação ao uso e proteção em um ambiente com tecnologia presente em várias partes do negocio e visando a proteção na esfera da tecnologia com ferramentas que auxiliam desde o desenho de uma solução de segurança até a auditoria constante do ambiente passando pela continuidade do negocio, monitoramento e etc.
Adriano Ribeiro, Especialista em Segurança Cibernética e Líder da Área de Serviços de SI na LDC.
Taciana Salomão, Diretora de Projetos e Serviços na LDC.
Fonte do estudo: Kaspersky
Considerações num mundo de múltiplas nuvens
Ler Notícia 21/03/2019Mantenha sua rede corporativa funcionando
Ler Notícia 15/03/2019Vazamento expõe dados de 36 mil clientes da Unick Forex
Ler Notícia 06/03/2019Cloud computing: saiba porque as Pequenas e Médias Empresas devem priorizar esta tecnologia
Ler Notícia 26/02/2019Usando a AI avançada para permanecer à frente dos cibercriminosos
Ler Notícia